aspx、php、jsp内存马使用 - 网安 - 专业的网络安全产业、社区、知识平台

0x00 前言

前端时间看到asp的内存马分析，上周又看到jsp内存马技术文章，刚好团队在带新，就简单总结一下三种语言的内存马技术，不会有过多的代码分析、技术解读，以学习内存马基本原理、会实战利用为主。

0x01 jsp内存马

从jsp开始谈，我们要知道Servlet、Filter、Listener是什么？

Servlet（服务程序）是运行在Web请求和服务器上的应用程序之间的中间层，根据请求生成相应的返回信息提供给用户。

Filter（过滤器）是对Servlet技术的一个强补充，其主要功能是在HttpServletRequest（请求）到达Servlet（中间件）之前，拦截、检查、修改其内容；在HttpServletResponse（响应）到达客户端之前，拦截、检查、修改其内容。

Listener（监听器）就是Application、Session和Request三大对象创建、销毁或者往其中添加、修改、删除属性时自动执行代码的功能组件，通过监听器，可以自动触发一些动作，比如监听在线的用户数量，统计网站访问量、网站访问监控等。

举个例子来理解：Listener就是水表，我们的数据经过时会触发计数，Filter就是水管上的开关，通过他的开关可控制数据流向哪里，Servlet就是水龙头，打开厨房的水龙头就是要洗菜，打开浴室的水龙头就是要洗澡，这就是“根据请求生成相应的返回信息”。

因为某抓包工具原因，我们都知道jar运行时可以加“-javaagent”参数来控制jvm执行内容，不过java后来又出现了attach（附加）方式去动态修改运行中的程序，不了解java机制也没关系，这两种方式我们可以这样理解：

javaagent理解为exe程序运行时设置参数，实现修改运行逻辑

attach理解为exe程序运行中修改内存值，实现修改运行逻辑

因此jsp内存马就是attach+Servlet/Filter/Listener的方式，在Servlet/Filter/Listener三者的任意一个中动手脚即可实现

0x02 aspx、php内存马

aspx内存马有三种情况：Filter内存马、Route内存马、HttpListener内存马，对应概念与jsp相同。

asp.net的web应用启动后会自动运行全局的Filters和Routes组件，因此利用他们写内存马直接插入即可，与jsp不同的是，有时需要访问一次上传的文件去触发内存写入。

HttpListener区别较大，类似启动一个简单的Web Server，要System权限才行，可以端口复用，不会留下web日志记录，比起webshell更适合用于权限维持的后门。

php内存马我更愿意叫它不死马，第一种情况是访问文件，使用while一直写文件（运行不停止当然内存一直占用），来达到“不死”的目的；第二种是使用file_get_contents加载远程webshell代码执行，配合unlink(__FILE__)删除自身达到“shellcode不落地”的无文件落地运行目的。